Ужесточение мер ответственности за нарушение законодательства о персональных данных: административные меры

Введение

В современном цифровом мире данные стали новым «золотом». Компании и государственные органы собирают, хранят и обрабатывают огромное количество персональной информации, что делает вопросы защиты данных критически важными. Глобальная тенденция идет по пути ужесточения регулирования в этой сфере: государства вводят новые требования, усиливают контроль и санкции за нарушения.

Статистика Роскомнадзора по утечкам персональных данных (далее ПД) красноречиво констатирует серьезно проблемы:

• 2024г. – 135 утечек, 710 млн записей;
• 2023г. – 168 утечек, 300 млн записей;
• 2022г. – 140 утечек, 600 млн записей.

Россия не стала исключением. В 2024 году были приняты два ключевых закона – Федеральные законы № 420-ФЗ и № 421-ФЗ от 30.11.2024, которые значительно усилили административную и уголовную ответственность за несоблюдение законодательства в области персональных данных (ПД). Эти изменения стали ответом на рост числа утечек данных и необходимость повышения уровня их защиты.

Изменения вступают в силу 30 мая 2025 года. В настоящем материале представлен обзор ключевых изменений представлен в настоящем материале.

Усиление административной ответственности (ФЗ № 420)

Федеральный закон № 420-ФЗ внес значительные изменения в КоАП РФ, ужесточив наказания за нарушения в области обработки ПД. Ниже описаны изменения по ключевым периметрам ответственности оператора.

Ненадлежащее взаимодействие с РКН

Исходя из дефиниций 152-ФЗ оператором ПД является юридическое лицо. При этом у каждого оператора ПД есть обязанность подать уведомление о начале обработке ПД, а также в срок не позднее 15 дней сообщать обо всех изменениях путем подачи уведомления об изменении сведений.

До вступления в силу 420-ФЗ ответственность за неисполнение данного обязательства была символической — штраф до 5К ₽. В новой редакции КоАП несвоевременное уведомление РКН об обработке ПД доходит до 300К ₽.

Ненадлежащее взаимодействие с субъектами ПД

Операторы ПД обязаны обеспечить обработку запросов субъектов ПД. Запросы могут включать в себя, в частности:

• Запрос о предоставлении информации: какие данные обрабатывает оператора, какие меры предприняты для защиты этих данных, в какой срок они будут удалены.
• Требование об уничтожении ПД субъекта (отзыв согласия на обработку ПД).

на каждое из указанных выше требований оператор обязан ответь в предусмотренные 152-ФЗ сроки — 10 рабочих дней на запрос субъекта, до 30 на уничтожение ПД после отзыва согласия.

Неисполнение запросов субъекта, равно как и нарушение сроков ответа влечет административную ответственность в виде штрафа до 500К ₽.

Нарушения правил обработки ПД

Значительно увеличены штрафные санкции за обработку ПД без надлежащим образом оформленного правового основания. Так, штраф за обработку ПД без обязательного письменного согласия составит до 1.5 МЛН ₽ (ч. 4.2-2.1 ст. 13.11 КоАП).

Неправомерный сбор ПД на сайте

Неопубликование политики обработки и защиты ПД, равно как и опубликование документов, которые по своему содержанию не соответствуют требованиям 152-ФЗ, влечет административную ответственность в виде штрафа в размере до 60К ₽ (4.3 ст.13.11 КоАП).

Ответственность за утечки ПД

Наиболее резонансными нововведениями 420-ФЗ является введение оборотных штрафов за допущенные утечки ПД.

Утечка данных – это инцидент, при котором персональные данные стали доступны третьему лицу, а также утрата конфиденциальности данных повлекла нарушение прав человека, чьи данные были раскрыты. Например, причиной утечки персданных могут стать случаи, когда:

• злоумышленники получили доступ к базе клиентов компании в результате взлома информационных систем;
• копия базы данных клиентов попала в интернет в результате ошибки работников;
• сотрудник случайно направил справку о размере заработной платы по ошибочному адресу электронной почты.

Чтобы минимизировать последствия, РКН ужесточил ответственность за утечку персональных данных. Теперь компании будут платить штрафы в зависимости от объема утекшей информации. Чем больше лиц, чьи персональные данные «утекли», тем выше сумма.

Сам факт неуведомления РКН об утечке повлечет штраф до 3 млн рублей. За повторную утечку данных применяются оборотные штрафы: 1-3% от годовой выручки компании. Максимальный размер штрафа составит 500МЛН ₽ (ч. 16, 18 ст. 13.11 КоАП)

Рекомендации

Столь существенное ужесточение ответственности операторов ПД в совокупности с активизацией деятельности РКН по проверке операторов позволяет сделать вывод о том, что время формального подхода к исполнению требований 152-ФЗ подошло к концу. Ему на смену приходит время ответственного управления данными.

Бизнесу необходимо адаптироваться к новым требованиям, внедряя надежные меры защиты, чтобы избежать санкций и сохранить доверие клиентов.

Ответственный подход к управлению персональными данными предполагает:

1. Инвентаризацию всех процессов обработки ПД;
2. Разработку и внедрение актуальной организационно-распорядительной документации;
3. Непрерывный контроль и обучение сотрудников оператора.

Кто в зоне риска?

Компании, которые ведут деятельность в интернете, особенно уязвимы перед новыми рисками из-за участившихся проверок РКН без предварительного уведомления оператора (т.н. “Контроль без взаимодействия с оператором ПД”).

Таким компаниям в первую очередь необходимо проверить свои интернет ресурсы на предмет соответствия требованиям 152-ФЗ, что включает, среди прочего:

• наличие на сайте Политики в отношении обработки ПД, соответствующей по своему содержанию требованиям 152-ФЗ;
• правильность оформления форм для сбора ПД на сайтах;
• регламентацию применения метрических систем на сайте (Я.Метрика, Google.Analytics).

Инфографика: Административная ответственность за нарушение 152-ФЗ

Роман Московских